POLITYKA OCHRONY DANYCH OSOBOWYCH

Niniejszy dokument został sporządzony na potrzeby funkcjonowania przedsiębiorstwa Sanerga Sp. z o.o. z siedzibą we Wrocławiu. Celem Polityki Ochrony Danych Osobowych dalej jako „Polityka” jest ustanowienie oraz wprowadzenie zasad ochrony danych osobowych w związku z ich przetwarzaniem zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. oraz Ustawą o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2018 r. poz. 1000). Polityka znajduje zastosowanie do wszystkich postaci informacji zawierających dane osobowe, tj. dokumentów papierowych, zapisów elektronicznych       i innych instrumentów będących własnością przedsiębiorstwa Sanerga Sp. z o.o. i przetwarzanych w systemach informatycznych, w sposób papierowy bądź za pośrednictwem narzędzi komunikacyjnych.

  1. Definicje:

Użyte w niniejszym dokumencie określenia mają następujące znaczenie:

  1. administrator – Sanerga Sp. z o.o. z siedzibą we Wrocławiu ul. Wiejska 9a/4, 52-411 Wrocław,
  2. dane osobowe – oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię, nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej,
  3. naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych,
  4. podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarzana dane osobowe w imieniu administratora,
  5. przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie,
  6. RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
  7. Ustawa o ochronie danych osobowych – ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 poz. 1000),

 

  1. Zasady przetwarzania danych osobowych:

Administrator danych w zakresie przetwarzania danych osobowych stosuje następujące zasady:

  1. dane osobowe przetwarzane są zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą,
  2. dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
  3. dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane,
  4. dane osobowe są prawidłowe i w razie potrzeby uaktualniane; Administrator podejmuje wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane,
  5. dane osobowe są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
  6. dane osobowe są przechowywane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych,
  7. dane osobowe przetwarzane są w siedzibie Administratora danych; przetwarzanie danych poza siedzibą Administratora danych jest możliwe jedynie w przypadku zapewnienia środków bezpieczeństwa ochrony danych osobowych w stopniu analogicznym do Polityki Ochrony Danych Osobowych.

 

  1. Obowiązki Administratora.

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, Administrator wdraża odpowiednie środki techniczne oraz organizacyjne, takie jak:

  1. dostęp do danych osobowych przetwarzanych w formie papierowej oraz systemach informatycznych mają tylko osoby upoważnione, tj. pracownicy Administratora, osoby współpracujące na podstawie umowy powierzenia przetwarzania danych, pełnomocnicy, eksperci i doradcy administratora na podstawie odrębnej umowy bądź upoważnienia oraz podmioty upoważnione na podstawie przepisów prawa,
  2. każdy pracownik oraz osoba upoważniona do przetwarzania danych osobowych w systemach informatycznych posiada indywidualny login oraz hasło pozwalające na dostęp do systemów informatycznych, w których przetwarzane są dane osobowe; każda z ww. osób dodatkowo posiada indywidualny login oraz hasło dostępu do komputera,
  3. pomieszczenia, w których znajdują się komputery z zainstalowanymi systemami informatycznymi bądź posiadającymi inne programy/zestawienia, które zawierają dane osobowe a także pomieszczenia, w których znajdują się papierowe dokumenty/kartoteki zawierające dane osobowe nie są dostępne dla osób postronnych, natomiast po godzinach pracy zamykane są na klucz; dodatkowo dokumenty w formie papierowej zawierające dane osobowe przechowywane są w szafach zamykanych na klucz,
  4. w przypadku opuszczenia przez pracownika/osobę upoważnioną stanowiska pracy, należy się wylogować z systemów informatycznych, w których przetwarzane są dane osobowe, a także należy schować wszelkie dokumenty znajdujące się na biurku, które zawierają dane osobowe, tzw. zasada czystego biurka; po zakończeniu pracy należy wylogować się z komputera i go wyłączyć,
  5. Administrator we własnym zakresie lub z pomocą firmy informatycznej należycie upoważnionej, zobowiązuje się zabezpieczyć sprzęt komputerowy przed nieuprawnionym dostępem z zewnątrz poprzez zainstalowanie specjalistycznego oprogramowania chroniącego przed ww. zagrożeniami oraz poprzez zainstalowanie programów antywirusowych,
  6. Administrator dołoży wszelkich starań aby operator poczty elektronicznej zapewnił bezpieczeństwo danych w tym korespondencji mailowej, przed nieuprawnionym dostępem osób z zewnątrz, ponadto Administrator dołoży wszelkich starań aby przesyłając korespondencję mailową nie ujawniać adresów mailowych innych osób niż adresat, chyba że osoby te ujawniły swoje adresy we wcześniejszej korespondencji; Administrator dołoży także wszelkich starań aby nie przekazywać danych osobowych osobom postronnym na komunikatorach służących do elektronicznej wymiany informacji/wiadomości,
  7. Administrator na bieżąco ocenia skuteczność środków technicznych oraz organizacyjnych mających na celu ochronę danych osobowych i reaguje niezwłocznie w przypadku dostrzeżonych nieprawidłowości, a także przynamniej raz w roku dokonuje przeglądu systemów, progmaónw, środków służących do bezpiecznego przetwarzania danych osobowych.

 

  1. Zasady postępowania w przypadku naruszenia ochrony danych osobowych.

W przypadku naruszenia ochrony danych osobowych Administrator podejmuje następujące czynności:

  1. zawiadamia o incydencie bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – organ nadzorczy, tj. Prezesa Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, aby naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, natomiast w przypadku zgłoszenia incydentu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia; zgłoszenie powinno zawierać co najmniej:
    • charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości powinno wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
    • imię i nazwisko oraz dane kontaktowe pomiotu, od którego można uzyskać więcej informacji na temat incydentu,
    • opis możliwych konsekwencji naruszenia ochrony danych osobowych,
    • opis zastosowanych środków lub proponowanych rozwiązań przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach opis środków mających na celu zminimalizowanie ewentualnych negatywnych skutków incydentu,
  2. dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze,
  3. w przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu; zawiadomienie nie jest wymagane jeżeli Administrator:
    • wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych,
    • zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą,
    • musiałby włożyć niewspółmiernie duży wysiłek aby takie zawiadomienie złożyć; w takiej sytuacji zostaje wydany publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

 

  1. Prawa osoby, której dane dotyczą.
  1. Administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art.15-22 RODO, tj.
  1. prawo dostępu do treści danych oraz uzyskania określonych informacji,
  2. prawo do sprostowania danych,
  3. prawo do usunięcia danych („prawo do bycia zapomnianym”),
  4. prawo do ograniczenia przetwarzania,
  5. prawo do przenoszenia danych,
  6. prawo do sprzeciwu,
  7. prawo do sprzeciwu w zakresie zautomatyzowanemu przetwarzaniu danych w tym profilowaniu.
  8. Administrator podejmie odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie udzielić osobie, które dane dotyczą wszelkich informacji w zakresie przetwarzania jej danych osobowych. Informacji udziela się w formie pisemnej lub w inny sposób, w tym elektronicznie. Jeżeli osoba, której dane dotyczą tego zażąda, informacji można udzielić ustnie, o ile w inny sposób zostanie potwierdzona tożsamość osoby, której dane dotyczą.
  9. W przypadku gdy osoba, której dotyczą zwróci się o udzielnie informacji w zakresie przetwarzania jej danych osobowych, a zwłaszcza gdy wstąpi z jednym z żądań określonych w art. 15-22 RODO, Administrator zobowiązany jest udzielić odpowiedzi bez zbędnej zwłoki, a w każdym razie nie później niż w terminie miesiąca od dnia otrzymania żądania. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania bądź liczbę żądań. W terminie miesiąca od otrzymania żądania Administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn przedłużenia. Jeżeli Administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od dnia otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem. Informacje udzielane przez Administratora są wolne od opłat, chyba że żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój uporczywy charakter, Administrator może pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielania informacji, prowadzenia komunikacji lub podjęcia zadanych działań, albo odmówić podjęcia działań w związku z żądaniem.

 

  1. Inspektor Ochrony Danych Osobowych.

W spółce nie powołuje się Inspektora Ochrony Danych Osobowych, nie zachodzą przesłanki określone w art. 37 RODO.

 

  1. Podmiot przetwarzający.

W przypadku powierzenia przetwarzania danych zastosowanie znajdują poniższe zasady:

  1. Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych,
  2. podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora,
  3. przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy, której wzór określa załącznik nr 1 do niniejszej Polityki,
  4. Administrator prowadzi rejestr umów powierzenia przetwarzania danych według wzoru, który stanowi załącznik nr 2 do niniejszej Polityki.

 

  1. Rejestr czynności przetwarzania.
  2. Administrator prowadzi rejestr czynności przetwarzania danych osobowych, który zawiera:
  3. imię i nazwisko lub nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministratorów,
  4. cele przetwarzania,
  5. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  6. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
  7. w przypadku przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, informacje odnośnie przekazania danych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentację odpowiednich zabezpieczeń,
  8. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  9. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
  10. Rejestr ma formę elektroniczną, wzór rejestru stanowi załącznik nr 3 do niniejszej Polityki.
  11. Administrator udostępnia rejestr na żądanie organu nadzorczego.

 

  1. Postanowienia końcowe.

Nawiązując do art. 35 RODO, Administrator wskazuje, iż przed rozpoczęciem przetwarzania nie przeprowadził oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, ponieważ charakter, zakres, kontekst i cele przetwarzania przez Administratora nie powodują wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.